製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス名危険度
Exploit-Rekit.f
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7064
対応定義ファイル
(現在必要とされるバージョン)
7099 (現在7565)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2013/06/13
発見日(米国日付)2013/06/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・Exploit-Rekit.fはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・Exploit-Rekit.fは悪質なJNLPを実行するデータが組み込まれた悪質なhtmlです。

JNLPはjarを実行するパラメータデータとクラスが格納されたxmlファイルです。ドロップ(作成)されたJNLPファイルはJS/Exploit!JNLPという名前で検出されます。

・JNLPはjarパッケージファイルの場所、アプリケーションのメインクラスの名前などの情報、プログラムのパラメータが格納されたファイルです。適切に設定されたブラウザはJNLPファイルをJava Runtime Environment(JRE)に受け渡し、JREはアプリケーションをユーザのマシンにダウンロードして実行を開始します。

・JNLPファイルはJarファイルをダウンロードして実行します。JNLPのデータはhtmlから受け渡され、JARがダウンロードされ、実行されます。

これらのJarファイルはExploit-FHM!Rekitという名前で検出され、CVE-2012-1723の脆弱性がありました。

・Exploit-FHM!Rekitは、Oracle Java SE 7 update 4以前、6 update 32以前、5 update 35以前および1.4.2_37以前の脆弱性を利用しようとし、リモート攻撃者はホットスポットに関係がある未知のベクトルにより、機密性、整合性、可用性に悪影響を及ぼすことができます。

・脆弱性の利用に成功すると、以下のURLに接続してペイロードをダウンロードします。

  • ak[削除]d.com.com
  • gallus.lun[削除]ic.com
  • hxxp://ak[削除]d.com.com/dc.jnlp
  • hxxp://ak[削除]d.com.com/rx.jnlp
  • hxxp://ak[削除]d.com.com/89.jar
  • hxxp://ak[削除]d.com.com/yj.jnlp
  • hxxp://ak[削除]d.com.com/pf.jar
  • hxxp://ak[削除]d.com.com/89.jar
  • hxxp://ak[削除]d.com.com/pf.jar

・以下のペイロードをダウンロードします。

  • %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-[不定]\6b29ae44e85efac3c72ff4d1865d73f1_ee30d8fa-eeea-4127-9fa3-3b2699ade84e
  • %APPDATA%\Microsoft\Protect\S-1-5-21-[不定]\548ee5d6-b719-409e-8adc-230fd7277f6c
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\14\6fc1528e-2f602748[JS/Exploit!jnlpという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\14\6fc1528e-2f602748.idx
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\2\3d786642-6.0.lap
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\2\3d786642-692c1dbd [JS/Exploit!jnlpという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\2\3d786642-692c1dbd.idx
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\30\5aa9109e-2596c80d [Exploit-FHM!Rekitという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\30\5aa9109e-2596c80d.idx
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\57\4d12579-7d56564a[JS/Exploit!jnlpという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\57\4d12579-7d56564a.idx
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\9\1babaec9-15089a9b[Exploit-FHM!Rekitという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\9\1babaec9-15089a9b.idx

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・Exploit-Rekit.fは任意のファイルをダウンロードする可能性があります。

追加のマルウェアを感染したシステムにダウンロードして実行しようとします。

感染方法TOPへ戻る

・ユーザが.jarファイルがホストされている乗っ取られたWebサイトにアクセスすると、感染が開始されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。